T1564.008: Правила скрытия эл. почты
Злоумышленники могут задать правила электронной почты для скрытия входящих писем в почтовом ящике скомпрометированного пользователя. Многие почтовые клиенты позволяют создавать правила для входящих писем, например перемещать письма в другие папки, помечать их как прочитанные или удалять. Правила можно создавать или изменять через почтовые клиенты либо с помощью внешних функций, таких как командлеты New-InboxRule
или Set-InboxRule
PowerShell в Windows.
Злоумышленники могут использовать правила электронной почты в почтовом ящике скомпрометированного пользователя, чтобы удалять и (или) перемещать письма в менее заметные папки. Злоумышленники могут таким образом скрывать предупреждения системы безопасности, коммуникации с командными серверами или ответы на электронные письма внутреннего целевого фишинга, отправленные из скомпрометированной учетной записи.
Любой пользователь или администратор в организации (или злоумышленник с действующими учетными данными) может создавать правила для автоматического перемещения или удаления писем. Злоупотребление такими правилами может привести к тому, что пользователь или специалист по безопасности не сразу заметит содержимое писем, что затруднит или замедлит обнаружение атаки. Вредоносные правила обычно отвечают за фильтрацию электронных писем по ключевым словам (например, malware
, suspicious
, phish
и hack
), встречающимся в теме или тексте письма .
В некоторых средах администраторы могут устанавливать правила электронной почты, которые применяются ко всей организации, а не только к отдельным почтовым ящикам. Например, в Microsoft Exchange можно использовать транспортные правила, которые проверяют всю входящую почту организации на соответствие пользовательским условиям и выполняют с ней указанные действия, если эти условия выполняются. Злоумышленники, эксплуатирующие такие функции, могут автоматически изменять или удалять все письма на определенные темы, в частности внутренние уведомления об инцидентах безопасности.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
Мониторинг событий запуска процессов, связанных с подозрительным выполнением следующих командлетов PowerShell: New-InboxRule, Set-InboxRule, New-TransportRule, Set-TransportRule
Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»
Способы обнаружения
ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на использование правил электронной почты для скрытия входящих писем в почтовом ящике скомпрометированного пользователя. Отслеживайте подозрительную активность почтовых клиентов и приложений, например исчезновение сообщений, аномальные конфигурации и (или) записи журналов. В средах с Exchange отслеживайте записи журналов, указывающие на создание или изменение правил обработки потоков почты. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | В системах Windows и Exchange отслеживайте изменение или создание подозрительных правил для папки "Входящие" с помощью таких командлетов PowerShell, как |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | В системах macOS отслеживайте изменения в файлах |
---|
Меры противодействия
ID | M1047 | Название | Аудит | Описание | Корпоративные решения для работы с электронной почтой могут иметь механизмы мониторинга, включающие возможность регулярного аудита правил входящих сообщений. В среде Exchange администраторы могут использовать пары командлетов |
---|